Points clés
- Une stratégie de télémédecine sécurisée repose sur cinq piliers : gouvernance formalisée, sélection rigoureuse des solutions, formation des professionnels, gestion des incidents, et amélioration continue.
- Cette stratégie ne peut pas être construite en réponse à un incident : elle doit être élaborée avant le déploiement et révisée régulièrement.
- Les organisations ayant une stratégie formalisée de télémédecine sécurisée ont un taux d'incidents de sécurité 40 % inférieur à celles sans stratégie documentée selon une étude HIMSS 2023.
- ISO 27001:2022 et le référentiel HDS sont les deux cadres de certification les plus pertinents pour structurer une stratégie de sécurité en télémédecine.
- L'investissement dans une stratégie de télémédecine sécurisée représente en moyenne 8 à 12 % du budget de déploiement total selon les benchmarks sectoriels HIMSS.
Construire une stratégie de télémédecine sécurisée n'est pas un projet IT : c'est un programme de transformation institutionnelle qui engage simultanément la direction générale, les équipes médicales, les équipes soignantes, les équipes IT et la fonction juridique. Cette transversalité est la condition de sa réussite — et la raison pour laquelle les stratégies mono-dimensionnelles (uniquement technique ou uniquement réglementaire) échouent à produire une protection durable.
Pour les directions d'établissements, cette réalité signifie que la stratégie de télémédecine sécurisée doit être portée par la direction générale, avec un mandat clair et des ressources dédiées. Elle ne peut pas être déléguée intégralement au DSI ou au RSSI.
Le pilier gouvernance
La gouvernance de la télémédecine sécurisée comprend la définition d'une politique formalisée, la création d'un comité de pilotage multi-parties prenantes, la nomination d'un référent télémédecine coordinateur, et l'intégration de la télémédecine dans le plan stratégique de l'établissement. Cette gouvernance garantit que les décisions de déploiement, d'évolution et de réponse aux incidents sont prises avec la vision complète des enjeux médicaux, techniques et réglementaires.
Le pilier sélection et déploiement des solutions
La sélection d'une solution de télémédecine doit suivre un processus rigoureux incluant une analyse des besoins fonctionnels et techniques, une évaluation de la conformité réglementaire (HDS, RGPD, interopérabilité HL7 FHIR), une due diligence de sécurité du prestataire, et la négociation de contrats incluant des clauses de sécurité et de portabilité des données. Le déploiement doit être accompagné d'une phase de test et d'une formation des utilisateurs avant la mise en production.
Les piliers formation, incidents et amélioration continue
La formation des professionnels de santé à la sécurité de la télémédecine est un investissement direct dans la réduction des incidents. Elle doit couvrir les bonnes pratiques d'environnement, l'utilisation des outils, la vérification de l'identité des patients et les procédures en cas d'incident. Le processus de gestion des incidents doit être documenté, testé et connu de tous. L'amélioration continue, fondée sur les retours d'expérience des incidents et les résultats des audits, garantit l'adaptation de la stratégie à l'évolution des risques.
Kaiser Permanente, l'un des plus grands systèmes de santé intégrés américains, a développé un programme de sécurité de la télémédecine reconnu comme référence sectorielle par HIMSS. Ce programme inclut une gouvernance multi-parties prenantes, une certification ISO 27001 de sa plateforme de télémédecine, une formation obligatoire annuelle pour tous les professionnels pratiquant à distance, et un processus de test de sécurité trimestriel incluant des tests de pénétration. Kaiser réalise plus de 20 millions de consultations à distance par an dans ce cadre sécurisé.
Le groupe Ramsay Santé, présent dans 8 pays européens, a déployé une stratégie de télémédecine sécurisée unifiée pour ses 400 établissements. Cette stratégie, construite sur une plateforme certifiée ISO 27001 et HDS, inclut une charte d'utilisation commune, une formation e-learning obligatoire pour tous les professionnels, et un centre de gestion des incidents dédié à la télémédecine. En 2023, Ramsay a réalisé plus de 500 000 actes de télémédecine dans ce cadre, avec un taux d'incidents de sécurité inférieur à 0,01 % des actes.
Les hôpitaux Mount Elizabeth à Singapour, membres du groupe Parkway Pantai (IHH Healthcare), ont développé une stratégie de télémédecine sécurisée alignée avec les exigences MAS TRM et MOH Singapore. Cette stratégie inclut un programme de risk assessment annuel des plateformes de télémédecine, une intégration complète avec le NEHR et une formation certifiante pour les médecins pratiquant la télémédecine. Le programme a été présenté lors du Singapore eHealth Summit comme modèle de mise en conformité multi-réglementaire.